"North Korea's abuse of Cloudflare Workers and Pages" published by Kmsec. #FamousChollima, #NPM, #PylangGhost, #DPRK, #CTI kmsec.uk/blog/dprk-pages-dev…
3
7
384
Apr 2
북한 라자루스(Lazarus)에서 만든 PyLangGhost RAT 악성코드-dprk pylan(.)js
wezard4u.tistory.com/429747
#라자루스 #북한 #Lazarus #PyLangGhost
1
7
24
1,358
Mar 27
理想のリモート求人を装い技術者を狙う巧妙な攻撃が拡大している。北朝鮮系とされる集団が面接を偽装し、コマンド実行を誘導して端末を侵害する手口で企業アクセスと暗号資産を狙う。
北朝鮮政府の関与が指摘される脅威グループNICKEL ALLEYは、「Contagious Interview」と呼ばれるキャンペーンを強化している。Sophosの報告によれば、UpworkやFiverrなどのフリーランス基盤、LinkedInの高価値人材、さらにnpmリポジトリを悪用する三層の標的戦略を採る。偽の企業ページを用いて信頼関係を構築し、採用面接を装って攻撃へと誘導する。
面接の過程では技術テストを提示し、2025年以降は「ClickFix」と呼ばれる手法を多用する。これは意図的にエラーを表示するサイトへ誘導し、修正のためとしてローカルでコマンド実行を指示するもので、実際にはPyLangGhost RATを感染させる。これによりファイル窃取、任意コマンド実行、ブラウザ資格情報やCookieの収集、さらには暗号資産ウォレットの情報取得が可能となる。
さらにGitHub上の偽リポジトリを使い、npm installなど通常操作でマルウェアを取得させるほか、VS Codeのtasks.jsonを悪用しフォルダを開くだけで悪性スクリプトを実行させる手口も確認された。攻撃は単なる窃取にとどまらず、サプライチェーン侵害や企業スパイ活動への足掛かりとみられている。
securityonline.info/nickel-a…
7
1,291
Mar 24
"NICKEL ALLEY strategy: Fake it ‘til you make it" published by @Secureworks. #NickelAlley, #ClickFix, #ContagiousInterview, #PylangGhost, #DPRK, #CTI sophos.com/en-us/blog/nickel…
4
3
527
Mar 16
Jan 22
3,136 IP addresses concentrated in South Asia and North America linked to likely targets of #Lazarus activity from August 2024 to September 2025.
Old Friend :
BeaverTail/InvisibleFerret/GolangGhost/PylangGhost.
recordedfuture.com/research/…
9
46
4,587
Mar 16
"First instance of PylangGhost RAT observed on npm" published by Kmsec. #FamousChollima, #PylangGhost, #DPRK, #CTI kmsec.uk/blog/pylangghost-np…
4
17
944
Mar 10
"Contagious Interview: Evolution of VS Code and Cursor Tasks Infection Chains Part 2" published by AbstractSecurity. #ContagiousInterview, #VSCode, #GolangGhost, #PylangGhost, #DPRK, #CTI abstract.security/blog/conta…
3
9
557
Jan 27
北朝鮮系APTによる採用連絡を装った巧妙な攻撃が判明した。開発者向け課題を使い、業務端末にマルウェアを実行させる手口で、供給網侵害を狙う。実在企業や面接を装い、GitHub経由で配布する点が特徴だ。個人被害に留まらず組織全体に波及する。
Insikt Groupの報告によると、北朝鮮の脅威グループPurpleBravoは「Contagious Interview」と呼ばれる作戦で、正規の採用担当者になりすまし、LinkedInなどで関係構築を行った上でコーディング課題を送付する。課題はGitHub上のリポジトリとして提供され、業務用端末で実行されるとBeaverTailと呼ばれるJavaScript製情報窃取マルウェアが初期侵入を担う。その後、Python製のPylangGhostやGo製のGolangGhostといったRATが展開され、認証情報やクッキーの窃取、遠隔操作が可能となる。特にPylangGhostはChromeの最新資格情報保護を回避する設計とされる。調査ではAI、暗号資産、金融分野を中心に20以上の組織被害と、3000超の標的IPが確認された。PurpleDeltaと呼ばれる北朝鮮系偽装IT労働者とのインフラ共有も判明している。
securityonline.info/contagio…
5
10
1,613
Jan 25
North Korean Hackers Target AI & Crypto 🔥
Threat: Group PurpleBravo launched campaign "Contagious Interview" hitting 3,100 IPs in AI, #Crypto, and Finance.
Method: Fake recruiters trick job seekers into technical tasks (coding tests/repo cloning) that execute malware.
Payload: Uses PylangGhost and GolangGhost to steal credentials, plus a backdoored version of VS Code.
Impact: 20 global organizations breached via fake Ukrainian identities.
5
710
Jan 22
Tin tặc Triều Tiên tấn công hơn 3.100 địa chỉ IP trong vụ lừa đảo việc làm liên quan đến trí tuệ nhân tạo, tiền điện tử và tài chính.
Theo đó nhóm tin tặc hoạt động dưới cái tên "PurpleBravo" (còn gọi là Contagious Interview, DeceptiveDevelopment, Famous Chollima...), đã thực hiện chiến dịch gián điệp mạng quy mô lớn, nhắm vào hơn 3.136 địa chỉ IP cá nhân liên kết với các công ty trong lĩnh vực trí tuệ nhân tạo (AI), tiền điện tử và dịch vụ tài chính.
Chiến dịch này diễn ra từ tháng 8/2024 đến 9/2025, theo báo cáo mới nhất của Insikt Group thuộc Recorded Future công bố ngày 21/1/2026. Kẻ tấn công giả danh nhà tuyển dụng hoặc lập trình viên, dụ ứng viên tham gia "phỏng vấn kỹ thuật" bằng cách xem xét mã nguồn, sao chép kho GitHub độc hại hoặc hoàn thành nhiệm vụ lập trình, dẫn đến việc thực thi mã độc như BeaverTail, GolangGhost, PylangGhost – các công cụ truy cập từ xa đa nền tảng, đánh cắp thông tin đăng nhập, cookie và ví tiền điện tử. Ít nhất 20 tổ chức nạn nhân được xác định ở Nam Á, Bắc Mỹ, Châu Âu, Trung Đông và Trung Mỹ; một số trường hợp mã độc lây lan sang hệ thống công ty. Nhóm sử dụng VPN Astrill, máy chủ tại Trung Quốc, và các danh tính giả mạo từ Ukraine (như hồ sơ giả trên mạng xã hội) để che giấu.
Chiến dịch còn khai thác lỗ hổng trong VS Code bằng kho lưu trữ độc hại, cho phép thực thi lệnh tùy ý nếu nạn nhân tin tưởng tác giả. Đây là phần mở rộng của nhóm tin tặc Triều Tiên nhằm trộm cắp tiền điện tử (hơn 2 tỷ USD năm 2025) và thu thập tình báo, tận dụng xu hướng làm việc từ xa và tuyển dụng freelance.
Jan 19
Ba công dân Trung Quốc đã bị bắt giữ tại Hàn Quốc và chuyển hồ sơ để truy tố vì cáo buộc rửa tiền điện tử trị giá 107 triệu USD (tương đương 148,9 tỷ won), theo Cơ quan Hải quan Hàn Quốc.
Hoạt động tội phạm diễn ra từ tháng 9/2021 đến tháng 6 năm ngoái, thông qua một đường dây quốc tế sử dụng sàn giao dịch tiền điện tử trái phép, không xác định danh tính. Nhóm này nhận tiền từ khách hàng qua WeChat và Alipay, sau đó mua tiền điện tử ở nhiều quốc gia, chuyển vào ví điện tử tại Hàn Quốc, đổi sang won, rồi chuyển qua nhiều tài khoản ngân hàng trong nước dưới vỏ bọc các chi phí hợp pháp như phẫu thuật thẩm mỹ cho người nước ngoài hoặc học phí du học.
Vụ việc xảy ra trong bối cảnh Hàn Quốc đang gặp khó khăn trong việc xây dựng khung pháp lý rõ ràng cho tiền điện tử, dẫn đến nhiều nhà đầu tư nắm giữ số tài sản lớn trên các nền tảng nước ngoài.
5
50
Jan 22
3,136 IP addresses concentrated in South Asia and North America linked to likely targets of #Lazarus activity from August 2024 to September 2025.
Old Friend :
BeaverTail/InvisibleFerret/GolangGhost/PylangGhost.
recordedfuture.com/research/…
8
30
7,465
Jan 22
"PurpleBravo’s Targeting of the IT Software Supply Chain" published by @RecordedFuture. #BeaverTail, #ClickFix, #ContagiousInterview, #GolangGhost, #PurpleBravo, #PylangGhost, #DPRK, #CTI recordedfuture.com/research/…
2
11
561
Jan 22
据 Cryptopolitan 报道,朝鲜黑客组织 PurpleBravo 利用虚假的招聘面试,针对 AI、加密货币和金融公司的 3100 多个 IP 地址发动了网络间谍活动。攻击者伪装成招聘人员,诱骗求职者下载含有恶意软件的开发者工具或代码库(如 VS Code 后门)。Recorded Future 的 Insikt Group 指出,此次行动已波及全球 20 多个组织,攻击者通过 Astrill VPN 和位于中国的 C&C 服务器隐藏踪迹,并使用 PylangGhost 和 GolangGhost 等木马窃取凭证。 wublock123.com/index.php?m=c…
1,889
3 Nov 2025
북한 Lazarus(라자루스) 에서 만든 RAT PyLangGhost RAT 분석-nvidia.py
wezard4u.tistory.com/429637
#라자루스 #PyLangGhost #Lazarus
3
114
25 Sep 2025
✨朝鲜黑客从 Seedify 桥中窃取 120 万美元
⚠️事件概述:
1⃣一群被认为是🇰🇵 #朝鲜 政府支持的 #黑客 于2025年9月23日约UTC 12:05(北京时间约20:05)攻击了 #Seedify
2⃣他们利用平台的 #跨链桥 漏洞,窃取了价值约 120 万美元的加密货币。
3⃣这些黑客伪造了 #SFUND 代币,并从多个区块链的资金池中抽走钱,导致 SFUND 代币价格暴跌近 35%,从 0.42 美元跌到 0.28 美元。
🔧黑客如何下手:他们盗取了一个开发者的私钥,然后通过桥合约创建了不该存在的 SFUND 代币。
📄背景补充:
1⃣Seedify成立于 2021 年,主要帮助新兴项目筹集资金、孵化和发展,特别是那些涉及游戏、#DeFi、#AI、#大数据、#NFT 等创新技术的项目。Seedify 特别强调 Web3 游戏领域,帮助游戏开发者进入区块链生态,比如创建带有 NFT 或代币的游戏。
2⃣朝鲜黑客经常针对加密行业下手,2024年已造成 13 亿美元损失,2025 年更是他们最成功的一年,包括一个 15 亿美元的 ByBit 黑客事件。他们常用假招聘广告诱骗目标,使用 Slack 等工具协作,并通过新恶意软件如 "PylangGhost" 改进攻击。
#CryptoHack
#Seedify
#SFUND
#NorthKoreanHackers
1
21
20
1,553
10 Sep 2025
Lazarus Group’s 2025 attacks leverage fake IT roles, fraudulent interviews, and hijacked open-source packages to steal credentials, crypto, and code. Tools like ANY.RUN help detect InvisibleFerret, OtterCookie, and PyLangGhost. #LazarusGr… ift.tt/Cpa6sKi
1
2
143
10 Sep 2025
"Lazarus Group Attacks in 2025: Overview for SOC Teams" published by @anyrun_app. #ContagiousInterview, #ITWorker, #InvisibleFerret, #Lazarus, #OtterCookie, #PylangGhost, #DPRK, #CTI any.run/cybersecurity-blog/l…
1
5
22
861
24 Aug 2025
북한 Lazarus(라자루스) 에서 만든 RAT PyLangGhost RAT 분석-command(.)py(2025.8.7)
wezard4u.tistory.com/429579
#라자루스 #Lazarus #rat #PyLangGhost
1
2
2
243
18 Aug 2025
"북한 Lazarus(라자루스) 에서 만든 신형 RAT PyLangGhost RAT 분석-auto.py(2025.8.7)" published by @sakaijjang. #PylangGhost, #DPRK, #CTI wezard4u.tistory.com/429572
4
9
562
18 Aug 2025
북한 Lazarus(라자루스) 에서 만든 신형 RAT PyLangGhost RAT 분석-auto.py(2025.8.7)
wezard4u.tistory.com/429572
#라자루스 #북한 #Lazarus #PyLangGhost
1
3
270